tutaj - CERT Polska
Transkrypt
tutaj - CERT Polska
RAPORT Analiza domen rejestrowanych za pośrednictwem zaktualizowana o statystyki z sinkhole’a Domain Silver, Inc. 23 sierpnia 2013 SPIS TREŚCI Spis treści 1 Wprowadzenie 2 2 Rejestr, operator rejestru oraz rejestrator 2.1 Rogue registrar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Domain Silver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 3 4 3 Rozkład domen 4 4 Botnety 4.1 Citadel . . . . . . . . . 4.2 Dorkbot (NgrBot) . . . 4.3 Zeus Ice IX . . . . . . . 4.4 Andromeda (Gamarue) 4.5 RunForestRun . . . . . 4.6 Ransomware . . . . . . 5 5 6 6 6 7 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Infrastruktura proxy do C&C 8 6 Co dalej z domenami? 9 7 9 Statystyki Skracanie linków za pomoca˛ bit.ly Niektóre z linków umieszczonych w tym raporcie zostały skrócone za pomoca˛ serwisu bit. ly w celu poprawienia czytelności. Aby zobaczyć pełen adres wystarczy na ich końcu dodać znak plusa (+). Strona znajdujaca ˛ si˛e pod takim adresem zawiera informacje o skróconym linku. 1 1 1 WPROWADZENIE Wprowadzenie Niniejszy dokument zawiera opis domen rejestrowanych za pośrednictwem firmy Domain Silver, Inc. rejestratora działajacego ˛ w domenie .pl. Rejestrator ten, którego siedziba znajduje sie˛ na Seszelach, rozpoczał˛ swoje działanie w maju 2012 roku. Od tego czasu zespół CERT Polska zaczał˛ obserwować duży wzrost liczby rejestrowanych złośliwych domen (w tym do rozpowszechniania i zarzadzania ˛ złośliwym oprogramowaniem) oraz otrzymywać wiele skarg z zewnatrz ˛ na domeny rejestrowane za pośrednictwem Domain Silver. W maju 2013 doszło do przej˛ecia i sinkhole’owania kilkudziesi˛eciu złośliwych domen przez CERT Polska. Wiekszość ˛ domen .pl zawierajacych ˛ złośliwa˛ treść była˛ rejestrowana właśnie przez Domain Silver. Po dalszych bezskutecznych próbach naprawienia tej sytuacji, NASK podjał˛ decyzje˛ o wypowiedzeniu umowy z partnerem. W kolejnych rozdziałach tego dokumentu omawiamy do czego wykorzystywane były zarejestrowane za pośrednictwem Domain Silver domeny (status na 9 lipca 2013), jakie rozpowszechniano złośliwe oprogramowanie i dlaczego stanowiło to zagrożenie dla Internautów. Najważniejsze ustalenia: • Ze wszystkich domen zarejestrowanych – 641 domen (stan na 9 lipca 2013 plus domeny wcześniej sinkhole’owane) - tylko jedna aktywna była nieszkodliwa (domainsilver.pl) • 404 domeny były jednoznacznie szkodliwe, z czego 179 służyło jako serwery C&C. • Domeny były wykorzystywane do zarzadzania ˛ i rozpowszechniania botnetów takich jak Citadel, Dorkbot, ZeuS Ice IX, Andromeda, RunForestRun a także ransomware’u. • Zidentyfikowaliśmy co najmniej 16 instancji wyżej wymienionych botnetów. • 179 domen było używanych jako strony reklamujace ˛ farmaceutyki lub rekrutujace ˛ muły. Adresy URL tych stron były rozpowszechniane za pomoca˛ kampanii spamowych. Wszelkie zmiany danych domen zarejestrowanych przez Domain Silver sa˛ obecnie zablokowane, a partner nie ma już dost˛epu do rejestru domen. Domeny te maja˛ jako rejestratora wpisana˛ nazw˛e vinask. Domeny te b˛eda˛ systematycznie przenoszone na serwery sinkhole’a CERT Polska. 2 2 2 REJESTR, OPERATOR REJESTRU ORAZ REJESTRATOR Rejestr, operator rejestru oraz rejestrator Ze wzgledu ˛ na podobieństwo angielskich nazw, nast˛epujace ˛ trzy poj˛ecia bywaja˛ cz˛esto ze soba˛ mylone: rejestr nazw domenowych (ang. registry), rejestrator nazw domenowych (ang. registrar) oraz abonent nazwy domenowej (ang. registrant). Zakładajac, ˛ że rola abonenta wydaje sie˛ oczywista, poniżej tłumaczymy role rejestru oraz rejestratora nazw domenowych oraz różnice mi˛edzy tymi poj˛eciami. Rejestr nazw domenowych (ang. domain name registry) to baza danych zawierajaca ˛ wszystkie nazwy zarejestrowane w jednej domenie internetowej (np. .pl), kojarzaca ˛ nazwy domenowe z danymi ich abonentów oraz z nazwami serwerów na które sa˛ delegowane. Rejestry nazw domenowych moga˛ być tworzone na różnych poziomach hierarchii systemu DNS. I tak, operatorem rejestru najwyższego poziomu (ang. root-level) jest IANA (czyli Internet Assigned Numbers Authority), która z kolei deleguje zarzadzanie ˛ rejestrami kolejnych poziomów (ang. top-level) innym organizacjom. Rola˛ operatora rejestru nazw domenowych, zwanego także NIC (czyli Network Information Centre), jest utrzymywanie infrastruktury technicznej rejestru, tworzenie polityk rejestracji domen, a przede wszystkim aktualizacja rejestru i baz danych serwerów DNS. Naukowa i Akademicka Sieć Komputerowa jest operatorem rejestru nazw domenowych dla domeny krajowej .pl. Zarzadzanie ˛ czynnościa˛ rejestracji nazwy domenowej jest rola˛ podmiotu zwanego rejestratorem nazw domenowych (ang. domain name registrar). Jest to organizacja badź ˛ firma komercyjna, współpracujaca ˛ z operatorami rejestrów i posiadajaca ˛ bezpośredni dost˛ep do wprowadzania i modyfikacji danych przechowywanych w rejestrze. Rejestrator dysponuje odpowiednim poziomem uprawnień, pozwalajacym ˛ mu na dokonywanie zapytań do rejestru i zarzadzanie ˛ pula˛ nazw domenowych należacych ˛ do jego klientów. Operator rejestru może, lecz nie musi sam pełnić rol˛e rejestratora. W wielu przypadkach powierza ja˛ firmom zewnetrznym, ˛ które zobowiazuj ˛ a˛ si˛e do stosowania polityk danego rejestru. W Polsce, NASK ma podpisane umowy z ponad 190 partnerami pełniacymi ˛ role rejestratorów nazw domenowych. Wśród nich wiele jest firm zagranicznych. Abonent może samodzielnie wybierać rejestratora, z usług którego b˛edzie korzystał przy rejestracji nazwy domenowej, a także dokonywać przenoszenia nazwy pomi˛edzy rejestratorami. 2.1 Rogue registrar Uprzywilejowana pozycja rejestratora, umożliwiajaca ˛ mu dokonywanie rejestracji nowych nazw domenowych, delegowanie ich na serwery nazw, a także kontrol˛e nad danymi abonenta, może być niestety nadużywana. Z pozycji rejestratora łatwo można bowiem wprowadzać do rejestru serie nowych nazw domenowych, wykorzystywanych nast˛epnie do phishingu, spamu czy zarzadzania ˛ złośliwym oprogramowaniem, jako dane abonentów podajac ˛ informacje niezweryfikowane lub, w skrajnym przypadku, samodzielnie wygenerowane. W przypadku wykrycia nadużycia, prośby o reakcj˛e trafiaja˛ zazwyczaj w pierwszej kolejności do rejestratora. Pozwala mu to na ignorowanie ich przez pewien czas, lub podejmowanie działań w taki sposób, aby nie zagrażały całości infrastruktury – na przykład usuwanie problematycznych nazw dopiero po stworzeniu nowych i odpowiedniej aktualizacji złośliwego oprogramowania. 3 3 ROZKŁAD DOMEN To, co z zewnatrz ˛ wyglada ˛ na rażac ˛ a˛ nieskuteczność w zwalczaniu problemu, w połaczeniu ˛ z posiadanym przez rejestratora portfelem domen, w którym zdecydowana˛ wi˛ekszość stanowia˛ nazwy wykorzystywane do nadużyć różnego rodzaju, pozwala domniemywać, że działania i zaniedbania takiego rejestratora sa˛ w pełni świadome. Mówimy wtedy o tak zwanym rogue registrar, którym w skrajnym przypadku może być firma założona wyłacznie ˛ w celu ułatwienia przest˛epcom dost˛epu do rejestru domen. 2.2 Domain Silver Domain Silver jest jednym z rejestratorów, który swoja˛ działalność rozpoczał˛ w maju 2012 roku. Firma jest zarejestrowana pod nast˛epujacym ˛ adresem: Domain Silver Inc. 1st Floor, Sham-Peng-Tong Plaza Building, Victoria, Mahe Seychelles e-mail: [email protected] tel.: +1.3236524343 Pierwsze skargi na działalność tego rejestratora CERT Polska otrzymał w drugiej połowie 2012 roku. Skargi te dotyczyły obecności serwerów C&C oraz stron, do których prowadziły linki z kampanii spamowych pod domenami zarejestrowanymi przez Domain Silver. Do 29 lipca 2013 za pomoca˛ Domain Silver było zarejestrowanych 2926 domen. 3 Rozkład domen Poniższa tabela prezentuje statystyki dotyczace ˛ szkodliwych domen, których registrarem był Domain Silver i które miały status zarejestrowanych 9 lipca 2013 roku, wliczajac ˛ w to domeny, które były już wcześniej przez nas sinkholowane. Wszystkich domen .pl, które miały status zarejestrowanych w Domain Silver 9 lipca 2013 roku było 641. Rodzaj zawartości Serwery C&C1 Produkty farmakologiczne, rekrutacja mułów lub spam2 Złośliwe oprogramowanie3 Domeny umieszczone na blacklistach4 Erotyka dzieci˛ecia Liczba 179 179 20 17 5 Udział procentowy 27.9% 27.9% 3.1% 2.7% 0.8% Tabela 1: Rozkład szkodliwych domen 1 W tym serwery nazw, na których znajdowały sie˛ rekordy DNS serwerów C&C. W tym serwery nazw, na których znajdowały sie˛ rekordy DNS tych stron. 3 W tym serwery nazw, na których znajdowały sie˛ rekordy DNS tych stron. 4 Wyłaczaj ˛ ac ˛ domeny zaklasyfikowane do innych kategorii. 2 4 4 BOTNETY Spośród wszystkich domen 63% (404 domeny) stanowiły domeny zdecydowanie szkodliwe dla użytkowników. Z pozostałych domen tylko jedna (domainsilver.pl) zawierała, nieszkodliwa,˛ treść, a reszta nie zawierała żadnej treści. 150 domen z pozostałej grupy zostało zarejestrowanych tego samego dnia – 18 marca 2013, w ciagu ˛ 15 minut. Oprócz tego, wśród domen zarejestrowanych wcześniej, byliśmy w stanie zidentyfikować 35 domen używanych przez serwery C&C oraz 12 wykorzystywanych w kampanii spamowej produktów farmakologicznych. Pomi˛edzy 6 a 10 lipca 2013 roku, w ramach Domain Name Tasting, czyli możliwości czternastodniowego testowania nazwy domeny, zarejestrowano w Domain Silver 597 nazw domenowych, które służyły do promocji pigułek pomagajacych ˛ schudnać ˛ i były wykorzystywane w kampaniach spamowych używajacych ˛ botnetów. 4 Botnety Poniżej przedstawiamy krótkie opisy rodzajów botnetów, które znajdowały si˛e na wspomnianych wyżej domenach. Domeny zarejestrowane w Domain Silver były wykorzystywane w co najmniej 16 różnych, zidentyfikowanych przez nas, instancjach botnetów. 4.1 Citadel Citadel jest złośliwym oprogramowaniem, które jest dystrybuowane jako crimeware kit – zestaw aplikacji pozwalajacych ˛ na stworzenie własnej instancji botnetu. Rozwinał˛ si˛e on z kodu innego bota – Zeusa, który to kod wyciekł w 2011 roku. Rysunek 1: Schemat ataku man in the browser 5 4 BOTNETY Citadel wykorzystywany był najcz˛eściej do wykradania danych logowania do instytucji finansowych oraz ataków z wykorzystaniem inżynierii społecznej. Używał w tym celu ataków typu man in the browser. Na rysunku 1 zaprezentowany jest schemat takiego typu ataku. Wiecej ˛ informacji na temat botnetu Citadel można znaleźć w naszym raporcie na temat przejecia ˛ instancji plitfi: http://www.cert.pl/news/6900. Jest to jedna z instancji znajdujacych ˛ si˛e na domenach zarejestrowanych w Domain Silver. 4.2 Dorkbot (NgrBot) Dorkbot jest złośliwym oprogramowaniem posiadajacym ˛ duża˛ funkcjonalność. Jedna˛ z bardziej zaawansowanych jest instalacja rootkita w trybie użytkownika, dzi˛eki czemu może on ukrywać swoja˛ obecność w systemie – zarówno obecność samego pliku ze złośliwym oprogramowaniem, jak i jego aktywność na liście procesów. Pozostałe możliwości oprogramowania to miedzy ˛ innymi: • infekowanie dysków USB, • pobieranie i uruchamianie dodatkowego oprogramowania, • wykradanie haseł z serwisów społecznościowych, hostingowych i innych, • rozprzestrzenianie si˛e przez Skype, MSN, Facebook czy inne serwisy społecznościowe, • przeprowadzanie ataków typu flood czy slowloris. Wiecej ˛ informacji na temat Dorkbota oraz jego instancji, które wykorzystywały domeny w Domain Silver można znaleźć w jednym z wpisów na naszym blogu pod adresem: http: //www.cert.pl/news/6434. 4.3 Zeus Ice IX Kolejna˛ po Citadelu gał˛ezia˛ złośliwego oprogramowania, powstałego na podstawie ujawnionego kodu Zeusa, jest Ice IX. Posiada on te same możliwości co Zeus, czyli potrafi zarówno przechwytywać hasła użytkowników zainfekowanych systemów jak i przeprowadzać ataki man-in-the-middle takie jak ten przedstawiony powyżej. Wiecej ˛ na temat tej odmiany Zeusa można znaleźć na blogu RSA pod adresem http: //bit.ly/11WI8u7. 4.4 Andromeda (Gamarue) Andromeda jest modularnym botem stworzonym w taki sposób, by umożliwić łatwe dodawanie do niego nowych funkcji. System sprzedaży tego botnetu opiera si˛e na udost˛epnianiu kolejnych pluginów za dodatkowa˛ opłata.˛ Pluginy te umożliwiaja˛ mi˛edzy innymi nast˛epujace ˛ operacje: • pobranie i uruchomienie dodatkowego oprogramowania, 6 4 BOTNETY • wykradanie danych logowania z różnych serwisów, • tworzenie z komputera ofiary serwera pośredniczacego ˛ (proxy). Bot ten zawiera również duża˛ liczb˛e technik chroniacych ˛ go zarówno przed analiza˛ dynamiczna˛ z wykorzystaniem oprogramowania VirtualBox czy VMWare, jak i przed debugowaniem. Sposobem rozprzestrzeniania si˛e botnetu były wiadomości e-mail sugerujace, ˛ iż załaczony ˛ do niej plik to bilet elektroniczny na podróż samolotem. Drugim sposobem było użycie popularnego exploit kita, czyli zbioru aplikacji wykorzystujacych ˛ luki we wtyczkach przegladarki ˛ internetowej lub w samej przegladarce. ˛ Wiecej ˛ informacji na temat tego złośliwego oprogramowania i kampanii zwiazanej ˛ z Domain Silver można znaleźć na blogu firmy Trend Micro: http://bit.ly/SW2dr3. 4.5 RunForestRun RunForestRun jest złośliwym oprogramowaniem wycelowanym w serwery WWW. Do każdego pliku HTML na serwerze dodawany był złośliwy JavaScript tworzacy ˛ ramk˛e (iframe) w obecnej stronie. Ramka ta kierowała użytkownika na adres zawierajacy ˛ szkodliwy kod (exploit kit lub reklamy). RunForestRun ma zaimplementowany algorytm generowania nazw domenowych (z ang. Domain Generation Algorithm, w skrócie DGA). Rozwiazanie ˛ to jest rzadko spotykane wśród złośliwego oprogramowania przeznaczonego na serwery WWW. W przypadku jednej z wersji RunForestRun, oprogramowanie nawet kilkukrotnie w ciagu ˛ dnia generowało nowa˛ nazw˛e domenowa˛ z końcówka˛ .waw.pl powodujac, ˛ iż blokowanie domen z którymi oprogramowanie si˛e łaczyło ˛ nie rozwiazywało ˛ problemu. Zablokowanie domeny wykorzystywanej danego dnia nie spowoduje odci˛ecia komunikacji z serwerem C&C, gdyż dnia kolejnego wykorzystywana jest inna domena. Wiecej ˛ informacji na temat tego złośliwego oprogramowania i DGA tworzacego ˛ domeny w .waw.pl, które nast˛epnie były rejestrowane poprzez Domain Silver można przeczytać na blogu Unmask Parasites: http://bit.ly/OLynll. 4.6 Ransomware Na 16 domenach założonych po 9 lipca 2013 znajdował si˛e serwer C&C oprogramowania typu ransomware. Jest to rodzaj złośliwego oprogramowania blokujacy ˛ komputer użytkownika aż do otrzymania okupu. Oprogramowanie to, po zainfekowaniu komputera, łaczyło ˛ si˛e z domena˛ zarejestrowana˛ poprzez Domain Silver i pobierało z niej plik DLL, w którym znajdowała si˛e miedzy innymi strona, która była wyświetlana. Znajdujaca ˛ si˛e na niej treść sugerowała, że komputer został zablokowany ze wzgl˛edu na złamanie przepisów i użytkownik musi zapłacić grzywn˛e w wysokości 500 złotych. Strona była dostosowywana do ustawień jezykowych ˛ użytkownika, tak, aby wzbudzić jego wi˛eksze zaufanie. Na rysunku 2 znajduje sie˛ zrzut ekranu z zablokowanego komputera. 7 5 INFRASTRUKTURA PROXY DO C&C Rysunek 2: Polska wersja strony informujacej ˛ o blokadzie komputera Wiecej ˛ informacji na temat tego typu oprogramowania można znaleźć na naszym blogu: http://www.cert.pl/news/5483. 5 Infrastruktura proxy do C&C Niektóre z wyżej wymienionych botnetów, w celu lepszej ochrony adresu prawdziwego serwera C&C, wykorzystywały serwery proxy. Serwery używane w tym celu zostały najprawdopodobniej przej˛ete w wyniku włamania. Za każdym razem gdy zainfekowana maszyna próbuje połaczyć ˛ si˛e z wpisana˛ w jej konfiguracji domena˛ (np. example.com) musi wybrać jeden z adresów IP z nia˛ zwiazanych. ˛ Najcześciej ˛ jest to pierwszy adres IP na liście odpowiedzi serwera DNS. Nast˛epnie przesyła pod ten adres IP zgromadzone dane oraz pobiera od niego instrukcje. Ten adres odpowiada jednemu z serwerów oznaczonych na rysunku 3 jako Proxy Poziom 1. Jest to maszyna, z która˛ bezpośrednio komunikuje si˛e komputer ofiary. 8 7 STATYSTYKI Rysunek 3: Architektura proxy do C&C Na każdym z serwerów poziomu 1 znajduje si˛e oprogramowanie, które przekierowuje wszystkie żadania ˛ HTTP do jednego z serwerów oznaczonych jako Proxy Poziom 2. Analogicznie, każda z tych maszyn przekierowuje żadania ˛ do właściwego serwera C&C, który je przetwarza i ta˛ sama˛ droga˛ przesyła odpowiedź. 6 Co dalej z domenami? NASK 30 lipca 2013 roku wypowiedział umow˛e z partnerem Domain Silver, Inc. Wszystkie domeny, które zostały zarejestrowane przez Domain Silver, Inc. znajduja˛ si˛e obecnie w stanie de facto zamrożenia. Oznacza to, że wszelkie zmiany w Rejestrze dotyczace ˛ tych domen sa˛ niedozwolone. Domeny maja˛ wpisanego, jako registrara, nazw˛e vinask. Domeny te be˛ da˛ systematycznie przenoszone na serwery sinkhole’a CERT Polska. 7 Statystyki Niektóre z domen zarejestrowanych przez Domain Silver zostały już wcześniej sinkhole’owane przez CERT Polska. Poniższy rozdział zawiera statystyki, które udało nam si˛e zebrać w wyniku tej akcji. Wszystkie statystyki pochodza˛ z tego samego dnia – 23 lipca 2013. Zaobserwowaliśmy 101 831 unikalnych adresów IP, które nawiazały ˛ połaczenie ˛ z serwerem. Połaczenia ˛ pochodziły z 191 różnych krajów oraz 4 414 różnych systemów autonomicznych. Wśród nich umieściliśmy również botnet plitfi, o przeje˛ ciu którego informowaliśmy we wcześniejszym raporcie, a którego serwery C&C korzystały z domen zarejestrowanych przez Domain Silver. 9 7 STATYSTYKI Nazwa wrela5 spros5 MIX2 — imj/imr D34 — plitfi h9/h14 rustin5 dasay5 mantuma5 ewq stilos5 pinano5 CIT58 gr10 yds/dsg a1 CIT29 Rodzaj ZeuS ICE IX ZeuS ICE IX Citadel 1.3.5.1 Andromeda Citadel 1.3.5.1 Citadel 1.3.5.1 Dorkbot Citadel 1.3.5.1 Citadel 1.3.5.1 ZeuS ICE IX ZeuS ICE IX ZeuS ICE IX Citadel 1.3.5.1 ZeuS ICE IX ZeuS ICE IX Citadel 1.3.5.1 Citadel 1.3.5.1 Citadel 1.3.5.1 Citadel 1.3.5.1 Citadel 1.3.5.1 Liczba domen 3 4 9 3 4 5 3 2 5 2 2 2 8 2 5 5 7 3 5 1 Liczba adresów IP 37 772 17 226 10 202 10 035 9 572 8 125 7 335 6 495 6 006 3 907 3 480 2 285 1 253 1 173 990 717 638 481 141 48 Udział 37.09% 16.91% 10.01% 9.85% 9.40% 7.98% 7.20% 6.38% 5.90% 3.84% 3.42% 2.24% 1.23% 1.15% 0.97% 0.70% 0.63% 0.47% 0.14% 0.05% Tabela 2: Botnety stojace ˛ na domenach Domain Silver Tabela 2 prezentuje wszystkie botnety, które wykorzystywały Domain Silver jako rejestratora domen serwerów C&C oraz były sinkhole’owane przez CERT Polska 23 lipca 2013 roku. Niektóre nazwy botnetów zostały nadane im na podstawie domen, na których stały, podczas gdy inne byliśmy w stanie uzyskać prawdziwe nazwy botnetów, które pojawiały si˛e w plikach bota. Bardzo cz˛esto właściciele botnetów zmieniaja˛ ich nazwy. W takich przypadkach podaliśmy obie nazwy oddzielone ukośnikiem. W przypadku Dorkbota oraz Andromedy tylko jeden botnet tego typu był sinkhole’owany, wi˛ec nie było potrzeby aby go nazywać. Powyższa tabela nie zawiera również informacji na temat domen, z którymi żaden z botów nie nawiazał ˛ połaczenia. ˛ Sytuacja ta mogła nastapić ˛ np. gdy domena była wymieniona w konfiguracji jako "zapasowa" i bot powinien si˛e z nia˛ łaczyć ˛ dopiero wtedy, gdy nie może połaczyć ˛ sie˛ z żadna˛ inna˛ domena.˛ 5 Nazwa stworzona na podstawie domeny. 10 7 STATYSTYKI Kraj Niemcy Polska Francja Australia Turcja Indonezja Arabia Saudyjska Holandia Włochy Japonia Liczba adresów IP 20 231 8 344 5 152 5 041 4 277 4 043 3 890 3 867 3 214 3 183 Udział 19.86% 8.19% 5.05% 4.95% 4.20% 3.97% 3.82% 3.79% 3.15% 3.12% Tabela 3: 10 najcz˛eściej wyst˛epujacych ˛ krajów Tabela 3 prezentuje 10 krajów, z których pochodziło najwi˛ecej połacze ˛ ń do domen sinkhole’owanych przez CERT Polska. Jedna trzecia wszystkich połacze ˛ ń pochodziła z trzech krajów: Niemiec, Polski oraz Francji, przy czym prawie jedna piata ˛ połacze ˛ ń pochodziła z Niemiec. Mapy 5 oraz 6 prezentuja˛ rozmieszczenie geograficzne adresów IP, które łaczyły ˛ sie˛ z sinkholem. 22000 20000 18000 16000 14000 12000 10000 8000 6000 4000 2000 DE PL FR AU TR ID SA NL IT JP Rysunek 4: 10 najcz˛eściej wyst˛epujacych ˛ krajów 11 7 STATYSTYKI 100 200 300 Rysunek 5: Rozkład geograficzny adresów IP 100 200 300 400 500 600 700 800 900 1000 Rysunek 6: Rozkład geograficzny adresów IP w Europie 12 7 STATYSTYKI Nazwa AS Deutsche Telekom AG Vodafone D2 GmbH Turk Telekomunikasyon Anonim Sirketi Telekomunikacja Polska S.A. Autonomus System Number for SaudiNet Telstra Pty Ltd France Telecom S.A. PT Telekomunikasi Indonesia Unitymedia NRW GmbH Telecom Italia S.p.a. Numer AS AS3320 AS3209 AS9121 AS5617 AS25019 AS1221 AS3215 AS17974 AS20825 AS3269 Liczba adresów IP 8 780 3 326 3 001 2 849 2 414 2 146 2 017 1 852 1 590 1 370 Udział 8.62% 3.26% 2.94% 2.79% 2.37% 2.10% 1.98% 1.81% 1.56% 1.34% Tabela 4: 10 najcz˛eściej wyst˛epujacych ˛ systemów autonomicznych Tabela 4 prezentuje statystyki dotyczace ˛ podziału adresów IP łacz ˛ acych ˛ si˛e z serwerem sinkhole’a ze wzgl˛edu na system autonomiczny (w skrócie AS ), z którego pochodza.˛ Dane przedstawione w tabeli sa˛ spójne z prezentowanym wcześniej rozmieszczeniem geograficznym połacze ˛ ń. Natomiast tabela 5 zaw˛eża te statystyki do polskich systemów autonomicznych. Udział procentowy w drugiej tabeli odnosi si˛e tylko do Polski. Z 5 najcz˛eściej wyst˛epujacych ˛ systemów autonomicznych pochodziło ponad 2/3 połacze ˛ ń. Nazwa AS Telekomunikacja Polska S.A. Netia SA Polska Telefonia Cyfrowa S.A. P4 Sp. z o.o. Polkomtel Sp. z o.o. Numer AS AS5617 AS12741 AS12912 AS39603 AS8374 Liczba adresów IP 2 849 892 711 468 440 Udział 34.14% 10.69% 8.52% 5.61% 5.27% Tabela 5: 5 najcz˛eściej wyst˛epujacych ˛ systemów autonomicznych w Polsce Tabela 6 zawiera list˛e wszystkich botnetów i dla każdego z nich przedstawia trzy kraje, z których pochodziło najwi˛ecej połacze ˛ ń. Botnety sa˛ ułożone według ich wielkości (tak jak w tabeli 2). W przypadku botnetów znajdujacych ˛ si˛e pod koniec tabeli prawdziwy rozkład geograficzny mógł zostać przekłamany ze wzgl˛edu na systemy monitorujace. ˛ Botnety, do których została zarejestrowana mała liczba połacze ˛ ń, przeważnie sa˛ porzucone i ich nieliczne ofiary sa˛ kotrolowane przez badaczy, którzy chca˛ monitorować aktywność botnetu. Z danych wynika, że botnety h9/h14, plitfi, imj/imr nie były geograficznie zróżnicowane – prawdopodobnie były wycelowane tylko w ofiary znajdujace ˛ si˛e w konkretnym kraju badź ˛ krajach. Z kolei botnety spros, Andromeda czy rustin sa˛ rozmieszczone w sposób, który wskazuje, że cyberprzest˛epcy atakowali wszystkie ofiary, bez stosowania profilowania geograficznego. 13 7 STATYSTYKI Nazwa Kraj Liczba adresów IP Udział Turcja 3 464 9.17% wrela Polska 2 932 7.76% Holandia 2 572 6.80% Indonezja 1 523 8.84% spros Polska 1 358 7.88% Włochy 1 188 6.89% Arabia Saudyjska 3 602 35.30% MIX2 Australia 2 215 21.71% Zjednoczone Emiraty Arabskie 846 8.29% Turcja 1 595 15.89% Andromeda Niemcy 988 9.84% Włochy 754 7.51% Niemcy 5 357 55.96% imj/imr Francja 2 026 21.16% Meksyk 336 3.51% Niemcy 5 391 66.35% D34 Francja 2 359 29.03% Stany Zjednoczone 82 1.00% Brazylia 1 470 20.04% Dorkbot Rosja 857 11.68% Indonezja 755 10.29% Polska 4 006 61.67% plitfi Japonia 1 240 19.09% Szwecja 417 6.42% Niemcy 5 549 92.39% h9/h14 Brazylia 231 3.84% Stany Zjednoczone 40 0.66% Japonia 380 9.72% rustin Indonezja 371 9.49% Polska 246 6.29% Polska 336 9.65% dasay Australia 308 8.85% Turcja 251 7.21% Polska 430 18.81% mantuma Turcja 332 14.52% Niemcy 267 11.68% Holandia 397 31.68% ewq Niemcy 290 23.14% Australia 161 12.84% Tabela 6: 3 najcz˛eściej wyst˛epujace ˛ kraje, z których pochodziły połaczenia ˛ 14 7 STATYSTYKI Nazwa Kraj Liczba adresów IP Udział Polska 103 8.78% stilos Australia 95 8.09% Singapur 62 5.28% Polska 300 30.30% pinano Australia 235 23.73% Niemcy 127 12.82% Dania 537 74.89% CIT58 Norwegia 70 9.76% Finlandia 22 3.06% Niemcy 345 54.07% gr10 Holandia 101 15.83% Stany Zjednoczone 36 5.64% Niemcy 236 49.06% yds/dsg Włochy 47 9.77% Meksyk 38 7.90% Niemcy 129 91.48% al Stany Zjednoczone 7 4.96% Irlandia 2 1.41% Finlandia 20 41.66% CIT29 Dania 16 33.33% Stany Zjednoczone 5 10.41% Tabela 6: 3 najcz˛eściej wyst˛epujace ˛ kraje, z których pochodziły połaczenia ˛ 15